NİTELİKLİ ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICISININ

NİTELİKLİ ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICISININ Hu k u k î So r u m l u l u ğ u

Doç. Dr. Mustafa Fadıl YILDIRIM*

I. GENEL OLARAK

Elektronik ticaretin ve hatta e-Devlet uygulamalarının* 1 vazgeçilmez un­

surlarından birisi şüphesiz ki, bu ortamda iletilen irade beyanlarının, beyan sahibine aidiyetlerini belirleyecek (=Authentifizierungsfunktion) ve bir bü­

tün olarak karşı tarafa iletilebilecek (=Integritaetsfunktion) araçların yaratıl­

masıdır2. Bu amaca hizmet etmek ve dolayısıyla bu ortamdaki güvenlik ihti­

yacım karşılamak üzere3, gerek elektronik imza imkanlarının yaratılması

Atatürk Üniversitesi Hukuk Fakültesi Medeni Hukuk Anabilim Dalı öğretim Üyesi. E- posta: mfadil® atauni.edu.tr.

1 E-Devlet uygulamalarından da yararlanabilmesi ve internet ortamında idari işlemlerin yapılabilmesi için de başvuruda bulunan kişinin, hakkında işlem yapılması istenen kişi olduğunun tespiti oldukça Önem taşımaktadır. Avusturya’da İmza kartı ve imza kartı okuyucusu taşımanın pratik olmaması sebebiyle, Avusturya Telekom tarafından Al adı verilen cep telefonuna yerleştirilmiş yeni bir “idari İmza” yöntemi geliştirilmiştir. Bu yöntemde cep telefonuna sahip olan kişi, cep telefonu şirketine başvuruda bulunarak bir

“idari imza” imal ettirmektedir. Bu imza ile kişiler e-devlet uygulamalarını yapabilme imkanına kavuşmaktadırlar. Söz konusu imzanın niteliği ve tartışmalar hakkında geniş bilgi için bkz., Skrobotz, J., Handy statt Bürgerkarte: Dİe österreiche Al Signatur, www.iurpc.de/aufsatz/20040253.htm.

o Legler, T., Zur neuen bundesrütlichen Verordnung Uber elektronische Zertifızierungs- dienste, in; Jusletter 8. Mai 2000, Rz. 2, www.weblaw.ch/iusletter/Artikel.asp? Artic- leNr= 455; Geis, I., Die elektronische Signatur: Eine intemationale Architektur der Iden- tifizierung im E-Commerce, MMR 2000, 667; Heusch, Clemens-August, Die Elektroni­

sche Signatur, Diss., Berlin 2004, s. 1.

3 Zuber, elektronik ortamda yapılan ticarette “hidden action” ve “hidden information”

şeklinde gruplandınlabilecek iki Önemli rizikonun bulunduğunu belirtmekte, bu rizikolan makul seviyelere indirebilmek için yapılması gerekenler, sözleşme yapısına İlişkin ted­

birler ve elektronik imza sertifıkalannın yaygınlaştınlması olduğunu savunmaktadır. An­

cak özellikle sertifika sahibi İle hukukî İlişkiye karşı sertifika kurumunun sorumluluğun­

daki açıklar sebebiyle bunun gerçekleşmesinde güçlükler yaşanabileceğine işaret etmek­

tedir. Bkz., Zuber, M., Zertifizierunsstelle, www.ius-it.de/ius-IT.de/html/200-02/2001 -02- a001.htm. Ayrıca bkz., Heusch, 31 vd..

258 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

gerek hukuki alt yapısının hazırlanması yönünde yıllarca çaba sarf edilmiş ve nihayet ulusal ve uluslar arası4 düzeyde elektronik imza yasaları çıkarıla­

bilmiştir5.

Ülkemizde 15.1.2004 tarihinde kabul edilen 5070 sayılı Elektronik İmza Kanunu (EİK)6 Resmi Gazete'nin 23 Ocak 2004 Tarih ve 25355 sayılı nüs­

hasında yayımlanmış, ancak yürürlüğü altı ay ertelendiğinden (m.25) yasa, ancak 23 Temmuz 2004 tarihinde yürürlüğe girebilmiştir7. Yürürlüğün erte­

lenme gerekçesi ise, kanunda atıfta bulunulan yönetmeliğin (m. 20) çıkarıl­

masının beklenmesidir. Bu çalışmamızda kanunun 13ncü maddesinde düzen­

lenen elektronik imza sertifika hizmet sağlayıcısının hukuki sorumluluğu üzerinde durulacaktır.

Avrupa Parlamentosu’nun 1999/93/EG sayılı Yönerge’sİ, topluluk üyesi ülkelerde elekt­

ronik imza konusunda yapılacak düzenlemelerin çerçevesini çizmektedir. Yönerge Avru­

pa Birliği Resmi Gazetesİ’nde 19 Ocak 2000 tarihinde yayımlanarak yürürlüğe girmiştir (İnal, T., Elektronik İmza’da Hukuki Sorumluluk, Kazancı Hukuk, İşletme ve Maliye Bi­

limleri Dergisi, Y. 2004, S. 2, s. 7). Yönerge ile getirilen rejim hakkında geniş bilgi için bkz., Heusch, 31 vd..

5 Almanya'da elektronik imza ile İlgili İlk düzenleme 13.6.1997 tarihinde Information und Kommunakationsdienstgesetz (=IuKDG) de yer almışur. Anılan düzenleme 1.8.1997 yı­

lında yürürlüğe girmiştir. Yasa ile getirilen elektronik imza ile ilgili düzenlemenin niteliği konusunda bkz., Malzer, H.M., Zivilrechtliche Form und prozessuale Qualİtaet der digitalen Signatur nach dem Signaturgesetz, DnotZ (=Deutsche Notar Zeitschrift) 1998, 97 vd.. Bu gelişmeyi müteakiben, 1998 yılında da Belçika, Danimarka, Fransa, Finlandi­

ya, Hollanda, İspanya, İsveç ve İngiltere’de elektronik imza ile İlgili düzenlemeler İçin kanun koyma sürecinin başlatıldığı görülmektedir. Avusturya’da İse 19.8.1999 tarihinde Federal Elektronik İmza Yasası’nın kabul edildiği görülmektedir. Ayrıntılı bilgi için bkz., Schmidl, M., Die Elektronische Signatur, CR 2002, 508 vd.; Bİeser, V.W., Das neue Signaturgesetz- Die digitale Signatur im europaeischen und intemationalen Kontext, DStR 2001, 27 vd.. İsviçre’de elektronik İmza yasası ile ilgili olarak yaşanan süreç hak­

kında bkz., Legİer, İn:Jusletter 8.Mai 2000, s. 1 vd.. Çeşitli Avrupa ülkelerindeki durum hakında aynca bkz., Heusch, 33 vd.; Alman hukuku bakımından 78 vd..

6 Yasanın İsmi “Digital İmza Yasası” şeklinde olsa idi daha isabetli olurdu. Zira, biyometrik usullerle atılan İmzalardan ayırt edilebilmesi bakımından bu deyim isabetli olmamıştır.

Yasa esas itibariyle elektronik imza ile ilgili temel esasları belirlemekle birlikte, Borçlar Kanunu’nun 14/1 hükmüne ek olarak “güvenli elektronik imza, elle atılan imza ile aynı ispat gücünü haizdir" getirirken (m. 22), Hukuk Usulü Muhakemeleri Kanunu’nun 295 nci maddesinden sonra gelmek üzere 295 a maddesinde “usulüne göre güvenli elektronik İmza ile oluşturulan elektronik veriler senet hükmündedir. Bu veriler aksi ispat edilenceye kadar kesin delil sayılırlar. (II) Dava sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik imza ile oluşturulmuş veriyi inkar ederse, bu Kanun’un 308 nci maddesi kıyas yoluyla uygulanır” hükmünü getirmektedir (m. 23). Telsiz Kanu­

nu’nda da bir değişiklik yapılmıştır (m. 24).

Nitelikli Elektronik Sertifika... 259

Elektronik sertifika hizmet sağlayıcısı8, elektronik sertifika, zaman dam­

gası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuru­

luşları ile gerçek veya özel hukuk tüzel kişileridir (m. 8)9. Elektronik sertifi­

ka ise, “imza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbiri­

ne bağlayan elektronik kayıt”tır. Elektronik imza sertifika hizmet sağlayıcı­

sının hukuki sorumluluğu “Elektronik imza Kanunu”nun 13ncü maddesinde düzenlenmiştir. Hüküm “Hukukî sorumluluk” başlığını taşımakta ve şöyle devam etmektedir:

“Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı sorumluluğu genel hükümlere tâbidir. Elektronik sertifika hizmet sağ­

layıcısı, bu Kanun veya bu Kanuna dayanılarak çıkarılan yönetmelik hüküm­

lerinin ihlâli suretiyle üçüncü kişilere verdiği zararları tazminle yükümlüdür.

Elektronik sertifika hizmet sağlayıcısı kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz. Elektronik sertifika hizmet sağlayıcı­

sı, söz konusu yükümlülük ihlâlinin istihdam ettiği kişilerin davranışına da­

yanması hâlinde de zarardan sorumlu olup, elektronik sertifika hizmet sağla­

yıcısı, bu sorumluluğundan, Borçlar Kanununun 55 inci maddesinde öngörü­

len türden bir kurtuluş kanıtı getirerek kurtulamaz. Nitelikli elektronik serti­

fikanın içerdiği kullanım ve maddî kapsamına ilişkin sınırlamalar hariç ol­

mak üzere, elektronik sertifika hizmet sağlayıcısının üçüncü kişilere ve nite­

likli elektronik imza sahibine karşı sorumluluğunu ortadan kaldıran veya

O Kanunun 8 nci maddesinin kenar başlığında “elektronik sertifika hizmet sağlayıcısı”

ifadesine yer verilmiş ise de bunun “güvenli elektronik imza sertifika hizmet sağlayıcısı”

şeklinde anlamak lazımdır. Zira elektronik imzanın her çeşidi bakımından değil, sadece güvenli elektronik imzalar için sertifika verilebilecektir. Alelade elektronik sertifika diğer digital imzalarda da bulunurken, nitelikli elektronik sertifika ancak güvenli digital imza­

larda söz konusudur. Nitelikli elektronik sertifika, kanunlar veya yönetmeliklerle belir­

lenmiş bazı ek teknik İhtiyaçları karşılayan ve sertifika sahibinin ek kişisel bilgilerini içe­

ren elektronik sertifikalardır. Sertifika hizmet sağlayıcılarının elektronik ticarette taşıdık­

ları öneme dair geniş bilgi için bkz., Rossnagel, A., Offene Rechtsfragen des Signaturgesetzes, MMR 1998, 75 vd..

o Görüldüğü üzere sertifika hizmetinin sağlanmasında kamusal kurum ve kuruluşların yanında, özel hukuk gerçek ve tüzel kişilerine de faaliyette bulunma imkanı getirilmiştir.

Bununla birlikte doktrinde hizmetin sağlanmasında çok sıkı şartlar aranması, hizmetin kamusal nitelikli ve dolayısıyla devletin sorumlu tutulması gerektiği yönünde görüşlerin savunulduğu görülmektedir (Alman Federal Meclisinin IuKDG yasasına ilişkin gerekçe­

sinde bu görüş savunulmuştur BT-Drs., 1/7385, s. 58). Kanımızca sorumluluk kamu hu­

kuku kökenli hizmet kusuru şeklinde değerlendirilmeyip, özel hukuk nitelikli olarak ka­

bul edilmelidir. (Aynı görüşte, Ries, A., Rechtsrahmen digitaler Sİgnaturen, www.teie- law.com/Signaiur.htm.) Dolayısıyla kanunumuzun sorumluluğu özel hukuk nitelikli gö­

ren yaklaşımı yerindedir. Doktrinde bu tanımın çok geniş olduğu tıpkı Avusturya E-lmza Yasasında olduğu gibi nitelikli sertifika hizmet sağlayıcısının ayrıca tanımlanması ve farklı yükümlülüklere tabi tutulması istenmektedir (II. Bilişim Şurası Raporu, s. 164).

260 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

sınırlandıran her türlü şart geçersizdir. Elektronik sertifika hizmet sağlayıcı­

sı, bu Kanundan doğan yükümlülüklerini yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika malî sorumluluk sigortası yaptır­

mak zorundadır. Sigortaya ilişkin usul ve esaslar Hazine Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak yönetmelikle belirlenir. Bu maddede öngörülen sertifika malî sorumluluk sigortası Türkiye'de ilgili branşta çalışmaya yetkili olan sigorta şirketleri tarafından yapılır. Bu sigorta şirketleri sertifika matı sorumluluk sigortasını yapmakla yükümlüdürler. Bu yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekiz milyar lira İdarî para cezası verilir. Bu para cezasının tahsilinde ve cezaya itiraz usulünde İS inci madde hükümleri uygulanır.

Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikayı elektronik imza sahibine sigorta ettirerek teslim etmekle yükümlüdür.”

Sorumluluk konusunda ayrıntıya girmeden önce belirtilmek gerekir ki, böylesine önemli bir alanda yani elektronik imza sertifika kurumu olarak işe başlama ve faaliyette bulunmanın son derece kolaylaştırıldığı ileri sürülerek düzenlemenin eleştirildiği görülmektedir10. Bu eleştiride haklılık payı bu­

lunmakla birlikte kanaatimizce bu tutum, çağdaş gelişmelere bakıldığında isabetli olmuştur. Bununla birlikte eleştiride dile getirilen sakıncaları gider­

me bakımdan telekomünikasyon kurulunun çalışma izni vermeden aranılan koşullara uygunluk denetimini titiz bir biçimde gerçekleştirilmesi, yine faa­

liyet esnasında denetimlerine titizlikle devam etmesi gerekmektedir. Zira her gün yeni bir gelişmenin yaşandığı sektörde, güvenlik açıklarının izlenmesi, yenilenen teknolojiye ayak uyduramayan firmaların faaliyetten men edilme­

10 Berber, L.K./Varas, M., E-lmza Yasasına İlişkin Olarak Yapılması Gerekenler, II. Türkiye

Bilişim Şurası Hukuk Çalışma Grubu, 27. 2. 2004,

www.bilisimsurasi.org.tr/hukuk/docs/e-imza taslak raporu 2Q040227.doc. Sertifika sağ­

layacak kuruluşların hizmete başlamalarında gerekli güvenlik standartlarına dair sıkı ko­

şullar arama ve bu koşulların gerçekleştirildiğinin tespitinden sonra faaliyete izin verme, Alman kanun koyucusunun da vazgeçtiği bir yöntemdir. Alman kanun koyucusu yalnızca akredite edilmiş imza yönteminde, izin yöntemini benimsemiştir, Bkz., Thomale, H.C., Dİe Haftungsregelung nach § 11 SigG MMR 2004, 80-81. Aynca bkz., Rossnagel, MMR 1998, 76 vd.; Fischer, H., Zertifizierungsstellen für digitale Signaturen und das öffent- Hchrechtliche Genehmİgungsverfahren nach dem Signaturgesetz, NVwZ (=Neue Verwal- tungszeitschrift) 1999, 1284 vd.. Esasen, sertifika hizmet sağlayıcı olarak faaliyet gös­

termenin ekonomik analizinin iyi yapılması, getiri ve götürülerinİn iyi hesaplanması ge­

rektiği göz önüne alındığında bürokratik engellemelerin kaldırılmasının isabetli olduğu söylenebilir. Sertifika hizmet sağlamanın ekonomik analizi hakkında bir doktora tezi ça­

lışması için bkz., Walther, D., Wirtschaftlichkeit von Zertifizierungsstellen in Deutschland, Diss., Darmstadt 2003. Yazar özellikle bu alanda faaliyet gösterecek firma­

ların güvenlik konusundaki yenilikleri takip etme masrafları ile, sertifika sağlayıcılarının olası sorumlulukları halinde karşılaşacaktan rizikolun tartışmaktadır.

Nitelikli Elektronik Sertifika... 261

leri büyük önem taşımaktadır. Her ne kadar kanunda denetim konusunda

“gerekli gördüğü zamanlarda” ifadesine yer verilmiş ise de bu hüküm keyfi­

liğe yol açabilecek niteliktedir. Diğer yandan bu alanda faaliyet gösterecek kamu kurum ve kuruluşlarının denetimden muaf tutulmalarını da anlamak mümkün değildir. Bu durum, piyasanın serbest rekabete açık olmasını kağıt üzerinde bırakacak en büyük etken olarak karşımıza çıkmaktadır. Özel fir­

maların üzerinde denetim mekanizmasının bir tür “demoklesin kılıcı” olarak salınıp duracak olması, buna karşın kamu kuruluşlarının bundan muaf tutul­

ması kabul edilemez. Bu tutumun iki şekilde açıklaması olabilir: Ya, kamu hizmetinin denetimi gerektirmeyecek ölçüde kusursuz bir işleyişi var (!), ya da böyle bir hizmetin kamu kuruluşlarınca verilmesi düşünülmemektedir.

Kanun ile getirilen rejim, aynı anda onlarca yetkili sertifika kuruluşunun faaliyette bulunmasına imkan verecek niteliktedir. Bu noktada karşılaşılması muhtemel teknik bir sorun, ara işlerlik, yani kuruluşların verecekleri sertifi­

kalar arasındaki ortaklaşa kullanım imkanlarının yaratılıp yaratılmadığı nok­

tasındadır. Bunu gerçekleştirmek üzere X.509 genel kabul gören bir standart olarak kabul edilmişse de, zorunlu olmayan alanlarda farklı usullerin benim­

senmesinin, bazı zorunlu alanların desteklenmemesi entegrasyon sorunlarına yol açabileceği haklı olarak ifade edilmektedir11. Aksi halde ancak aynı kuruluştan elektronik imza edinenler birbirleri ile kanunun aradığı anlamda güvenli olarak iletişim kurabileceklerdir.

Bu hüküm ile getirilen sorumluluk düzenine geçmeden önce kısmen de olsa, Yönerge’de öngörülen sorumluluğun şartlarım gözden geçirmekte yarar vardır.

II. AVRUPA BİRLİĞİ YÖNERGE’SİNDE SERTİFİKA HİZMET SAĞLAYICILARININ SORUMLULUĞU

Yönerge’de sertifika hizmet sağlayanların bir yandan üçüncü kişilere karşı sorumluluğu diğer yandan sertifika sahibine karşı sorumluluğu asgari düzeyde düzenlenmiştir. Birlik üyesi ülkeler daha sert bir sorunjluluk düzeni yaratabileceklerdir, ancak asgari sorumluluk bu Yönerge’de belirlendiği şekilde olacaktır12. Sertifika hizmet sağlayıcısının üçüncü kişilere karşı so-

11 Tüfekçi, T., Elektronik İmza Niçin Yaygınlaşmıyor?, s. 7, www.bilten.metu.edu.tr/

Web2002vl/common/vavinlar /Elektronik imza niçin vavginlasamiyor-doc.pdf.

12 Yönerge’nin resmi gerekçesinde haklı olarak böylesine önemli bir konuda güncelliğini kaybetmiş teknolojilerin kullanılması veya şifrelerin ifşası noktasında daha sert sorumlu­

luk hükümleri ile, tıpkı el yazısı imzada olduğu gibi kapsamlı bir sorumluluk düzeninin

262 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

rumluluğu konusunda 1998 tarihli ilk taslağın aksine iki farklı sorumluluk getirmiştir. Sertifika hizmetleri de sunan kuruluşlar ile 2nci paragrafın lOncu fıkrası uyarınca nitelikli sertifika hazırlayan ve kamuya sunan sertifika sağ­

layıcılarının sorumluluğu. Yönerge’de gelişmiş elektronik imza (=fortgeschrittene Signatur) sertifikalarından dolayı üçüncü kişilere karşı sorumluluğa yer verilmemiştir13. Yönerge’ye göre üçüncü kişi, söz konusu sertifika sebebiyle sertifika kuruluşu ile arasında akdi bir bağ bulunmayan kişiler, özetle sertifika sahibi dışındaki kişilerdir. Ayrıca, sertifika hizmet sağlayıcı imzadan değil, hazırladığı sertifikadan sorumlu tutulmuştur.

Yönerge’de sorumluluğa ilişkin genel şartlan şu şekilde belirlemek mümkündür:

İlk şart, sertifikanın resmiyet kazanması (=Öffentlichkeitsbezug) yani resmen kullanılmaya hazır hale getirilmesidir. Tamamlanmamış, resmiyet kazanmamış oluşum aşamasındaki bir sertifika sebebiyle sorumluluk yoktur.

Resmiyet kazanmaktan maksat, sertifikanın resmi işlerde kullanılması değil, gerek idari birimler, gerek kişiler arası ilişkilerde kullanılabilecek hale geti­

rilmiş olmasıdır14.

İkinci genel şart, bir sertifika hizmet sunucusunun bulunmasıdır. Yöner- ge’nin 2nci paragrafı linçi fıkrası uyannca hizmet sunucusu, elektronik imza sertifikası veya elektronik imzaya ilişkin diğer hizmetleri sunan kişi veya kuruluşlardır. Bu arada şunu da belirtmek lazımdır ki, Yönerge’de ter­

minoloji birliğine riayet edilmemiştir. Sertifika hizmetleri sunucusu kavra­

mım ifade etmek üzere farklı terimlerin kullanıldığı görülmektedir. Bu kişi veya kuruluşlar, Yönerge’de belirlenen şartlan taşıdıktan tespit edildikten sonra göreve başlayabileceklerdir ve ancak bundan sonra düzenledikleri sertifikalar sebebiyle sorumluluktan doğabilecektir. Aynca bu kişi veya kuruluşlar sertifikayı bizzat düzenlemeseler dahi, başka ülkelerden alınmış sertifikalan kabul ettikleri takdirde de sorumluluğu üstlenmiş olmaktadırlar.

Sorumluluğun üçüncü genel şartı ise, kişinin sertifikaya makul bir biçimde güvenmesidir. Makul güven (=vemünftigerweise Vertrauen) üçüncü kişinin bildiği veya durumun gereği bilmesi gerekli durumlarda söz konusu olmaz ve dolayısıyla sorumluluk da doğmaz. Alman kanun koyucusu isabetli

yaratılması gereğine işaret olunmuştur (Rossnagel, A., Das neue Recht elektronischer Signaturen, NJW 2001, 1817 vd., 1823). Avrupa Birliği*nin ilgili Yönergesi*nin kapsamı ile ilgili olarak geniş bilgi için bkz., İnal, 5 vd.; Heusch, 31 vd.. Yönergenin sorumlulukla ilgili hükümleri hakkında bkz., 55 vd..

13 . . . .

Baum, 80. ileri elektronik imza konusunda geniş bilgi için bkz., Rossnagel, A., Dıe fortgeschrittene elektronische Signatur, MMR 2003,164 vd..

14 Baum, 81; Heusch, 68.

Nitelikli Elektronik Sertifika... 263

olarak hukuki bir deyim olmayan “makul güven” ibaresi yerine “bildiği veya bilmesi lazım geldiği haller” şeklinde kanuna Yönerge’nin bu hükmünü inti­

kal ettirmiştir.

Sorumluluğun özel şartlarına gelince bunlan da kısaca şu şekilde belir­

lemek mümkündür:

Öncelikle sertifika sağlayıcısının sorumluluğu nitelikli sertifikanın dü­

zenlenişi esnasında sertifikada yer alan tüm bilgiler sebebiyledir. Bu bilgile­

rin gerçeği yansıtmaması veya eksikliği sertifika düzenleyenin sorumluluğu­

na yol açar. Sertifikada yer alması gereken bilgiler, Ek l ’de öngörülen asgari bilgiler ile başvuru sahibinin bildirdiği bilgilerden oluşmaktadır. Ek l ’de öngörülen bilgiler ise kısaca, sertifikanın nitelikli sertifika olduğunun yazıl­

ması, sertifika hizmetleri sunucusunun kimliği ve yerleşim yeri, sertifika sahibinin ismi veya onun tanınmasına yarayacak takma adı, ismin ya da takma adın yanı sıra özel unvanlar ve ek bilgiler, örneğin temsilci ise kimi temsil ettiği, adres, vergi numarası vs15, bilgiler, imza doğrulama verileri, imzanın geçerlilik süresi ve sertifika teşhis kodu, sertifika hizmet sağlayıcı­

sının güvenli elektronik imzası (-fortgeschrittene Signatur), sertifikanın kullanım alanı ve en fazla ne miktardaki hukuki işlemler için kullanılabile­

ceğine ilişkin bilgilerdir. Sertifika düzenleyici sadece bu sertifikaya yazılma­

sı zorunlu asgari bilgilerden dolayı değil, sertifikaya yazılan diğer bilgiler­

den de sorumludur. Sorumluluk sertifikanın kullanımındaki aksaklıklar se­

bebiyle olduğu gibi, teknik bilgilerden eksiklikler sebebiyle de doğabilir.

Örneğin, sertifikada içerik hizmetleri sunucusunda yer alan ve oradan yük­

lenmesi gereken teknik bir adres yer almıştır ve bu bilgi verilmediği için zarara uğrayan kişinin zararını sertifika düzenleyicisinin tazmin etmesi gere­

kebilir.

Sertifika düzenleyen kuruluş sertifikada yer alan bilgilerin ancak düzen­

leme anında doğru olup olmadığı kontrol etmek yükümlülüğü altındadır ve bu andan sonra meydana gelebilecek değişiklikler sebebiyle sorumluluğu doğmaz. Bir diğer ifade ile sertifika hizmet sağlayıcı sertifika düzenlendik­

ten sonra burada bildirilen bilgilerin doğruluğu sürekli olarak kontrol etmek ve değişiklikleri sertifikaya işlemek şeklinde bir yükümlülüğü yoktur.

Sorumluluğa ilişkin olarak şu hususların da altını çizmek gerekir: Yö­

nerge’nin önci maddesinde asgari sorumluluk olarak ispat yükü ters çevril­

miş bir kusur sorumluluğu öngörülmüştür. İlk taslakta tehlike sorumluluğu

Bu bilgilerin de Ek Il’de öngörüldüğü biçimde sertifika düzenleyici tarafından kontrol edilmelidir, aksi halde bu bilgilerin yanlışlığından dolayı sorumluluğu doğabilir.

264 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

biraz yumuşatılmışsa da ana ilke olarak yerini almıştı16. Ancak, ilk taslakta sorumluluğu yumuşatan hüküm, Yönerge’de asli sorumluluk olarak benim­

senmiştir. Bu haliyle bazı sorular doktrinde haklı olarak sorulmaktadır: Serti­

fika kuruluşu başvuru sahibi tarafından verilen bilgileri ne kapsamda kontrol etme yükümlülüğü altındadır? Bir ticari işletmenin temsilcisi olarak sertifika almak için başvuran kişinin gerçekten temsilci olduğu araştırılacak mıdır?

Yine bir ticari mümessilin, gerçekte ticari mümessil olup olmadığını anla­

mak için ticaret siciline bakması gerekecek midir? Sertifika hizmet sağlayı­

cının kusuru hangi noktada sona ermektedir, vs. konularında Yönerge’de açık düzenlemeler bulunmamaktadır17.

III. SORUMLULUĞUN TÜRÜ

Bilindiği üzere hukukta sorumluluk ve özellikle “den” sorumluluğu de­

nildiğinde, bir olaydan, bir durumdan dolayı kişinin hukuk düzenince borçlu konumuna sokulması anlaşılmaktadır ve hukukumuzda sorumluluğun iki kaynağı bulunmaktadır: Sözleşme ve kanun olmak üzere. Taraflar arasında sözleşme ilişkisinin bulunduğu veya bir başkası ile mevcut sözleşme ilişki­

sinden bir biçimde yararlanıldığı ya da sözleşme olmamasına rağmen somut olayın özelliklerinin sözleşme var imiş gibi tarafların korunması amacıyla uygulandığı hallerde, sorumluluğun kaynağı sözleşmedir. Diğer hallerde ise sorumluluğun kaynağı kanundur ve bu kaynak da kendi içerisinde “haksız fiil, sebepsiz zenginleşme ve fedakârlığın denkleştirilmesinden doğan so­

rumluluk” olmak üzere üçe ayrılmaktadır. Haksız fiil sorumluğu ise kendi arasında kusur sorumluluğu (dar anlamda haksız fiil), sebep sorumluğu ve tehlike sorumluluğu olarak ayrılmaktadır. Bu bağlamda önemli bir tartışma elektronik imza sertifika hizmet sağlayıcısının sorumluluğunun bir olağan sebep ya da tehlike sorumluluğu olarak düzenlenmesinin gerekli olup olma­

dığı konusunda yaşandığından18, Türk kanun koyucusu tereddütlere mahal

16 Baum, 82. Yazar, sertifika hizmet sağlayıcılarının başvuru sahibinin verdiği bilgiler sebebiyle sorumlu tutulmamasını, bu tasanda öngörülen tehlike sorumluluğunu yumuşa­

tan hüküm olarak değerlendirmektedir.

17 Baum, 82. Türk kanunkoyucusu düzenlemesinde bu tür sorulan cevaplandırmıştır, örne­

ğin, yasanın 10 uncu maddesinde “sertifika verilen kişilerin kimliğinin resmi belgelere göre güvenilir bir biçimde tespit edilmesi”, yine sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisinin güvenilir bir biçimde resmi belgelere dayalı olarak tespit et­

mekle yükümlü kılınmıştır. Bu yükümlülüklere aykın davranış, sorumluluğu doğuracak­

tır.

18 Avrupa Birliği Elektronik İmza Yönergesinin ilk taslağında sertifika hizmet sağlayıcıları İçin tehlike sorumluluğu öngörülmüş ise de daha sonra bu taslaktaki İstisnai hüküm, ana kural haline getirilmiş ve sorumluluk, ispat yükü ters çevrilmiş kusur sorumluluğuna in­

Nitelikli Elektronik Sertifika... 265

vermemek için, sertifika sağlayıcısı ile sertifika sahibi arasındaki hukuki ilişki sebebiyle sorumluluğun “genel hükümlere” tabi olduğunu açıkça ön­

görmüştür. Dolayısıyla bu ilişki sebebiyle sorumluluk, sözleşme hukukuna hakim olan tipik kusur sorumluluğudur. Bununla birlikte hükmün kaleme alınışında eksiklik vardır, bu durum hükmün uygulanmasında tereddütlere yol açabilecektir. Hükümde anılan “genel hükümler” yalnızca Borçlar Kanu­

nu’nun genel hükümler kısmında akdi sorumluluğa ilişkin genel hükümler yani (BK. m. 1-181 ve özellikle m. 96 vd.) hükümleri midir yoksa, elektro­

nik imza kanununa göre genel nitelikli hükümler olan, Borçlar Kanunu tü­

müyle genel hüküm sayılacak mıdır? Kanaatimizce kanun koyucu ister genel nitelikli olsun, ister özel nitelikte borçlar kanununun tüm hükümleri elektro­

nik imza yasasına nazaran genel hüküm niteliğindedir ve bir uyuşmazlık vukuunda özel hüküm bulunmadığı sürece bütünüyle uygulama alanı bulma­

lıdır. Buna göre sertifika hizmet sağlayıcısı ile sertifika sahibi arasındaki ilişkinin hukuki niteliği belirlenmeli, öncelikle bu sözleşme tipine ait hü­

kümler uygulanmalı, daha sonra borçlar kanununun genel hükümleri uygu­

lanmalıdır. Bu noktada, doktrinde, sertifika hizmet sağlayıcıları ile noterler arasındaki benzer konuma işaret edilmekte19, sertifika hizmeti sunan kişi veya kuruluşun tıpkı imza tasdiki yapan noter gibi en azından sorumlu tu­

tulması ve göstermesi gerekli özenin bu meslek erbabının özen borcuna kı­

yaslanması gerektiği haklı olarak savunulmaktadır.

Diğer yandan kanun koyucu, elektronik imza sebebiyle bu imzaya güve­

nen ve dolayısıyla bir zarara uğrayan kişilere karşı da sertifika sağlayıcılarını esas itibariyle genel hükümlere göre, bir diğer ifade ile haksız fiile ilişkin hükümlere tabi tutmuş; olağan sebep sorumluluğu veya bir tehlike sorumlu­

luğu hali yaratmamıştır. Kanun koyucu yalnızca direktifte öngörüldüğü üze­

re kusuru ispat yükünü ters çevirmekle yetinmiştir. Bir diğer ifade ile Avru­

dirgenmiştir. Avrupa Birliği Meclisinin görüşleri için bkz., BT-Drs. (Bundestag Drucksache) 13/7385, s. 59. Ayrıca bkz., Baum, 82; Geis, I., Europaeische Aspekte der dİgitalen Signatur und Verschlüsselung, MMR 1998, 236 vd.. Sertifika hizmet sağlayıcı­

larının sorumluluğunun genel hükümlere tabi tutulması, özellikle kusurun veya kusursuz­

luğun ispatının çok zor, can sıkıcı olduğu bir süreç olduğu gerekçesiyle eleştirilmekte, sorumluluğun tehlike sorumluluğu olarak düzenlenmesi gerektiği ileri sürülmektedir, Bkz., Emmert, U.( Haftung von Zertifızierungsstellen, CR 1999, 248.

19 Bununla birlikte sertifika hizmet sağlayıcılarınca verilen sertifikaların noterlerce verilen resmi tasdik şerhi gibi olamayacağı, usul hukuku bakımından aynı güce sahip bulunma­

dığı, digital resmi tasdikin ancak noterin katılımı ile mevcut olabileceği, bunun için ise yasal düzenlemenin yapılması gerektiği haklı olarak ifade edilmektedir. Geniş bilgi için bkz., Malzer, H.M., Die öffentlİche Beglaubigung - Wesen, Funktİon, Bedeutung und Perspektive einer zivilrechtlichen Formvorschrift, DnotZ 2000, 181 vd..

266

pa Birliği Yönerge’si uyarınca üye ülkelerin asgari sorumluluk öngörme yükümlülüğü “asgari sorumluluk” la yerine getirilmiştir20.

Şimdi sertifika hizmet sağlayıcısının sertifika sahibine ve üçüncü kişilere karşı sorumluluğunu yakından inceleyelim.

M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

IV. SERTİFİKA HİZMET SAĞLAYICISININ SERTİFİKA SAHİBİ­

NE KARŞI SORUMLULUĞU

Sertifika hizmet sağlayıcısının sertifika sahibine karşı sorumluluğu ko­

nusunda EİK. m.13/1 “Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı sorumluluğu genel hükümlere tâbidir” hükmünü ge­

tirmektedir. Bu hüküm uyarınca akdi sorumluluğun ve sorumsuzluk kayıtlan dışında akdi sorumluluktan kurtulma imkanlannın burada geçerli olduğunda kuşku duymamak gerekir21. Zira sorumsuzluk kaydı öngörerek, sertifika sahibine karşı sorumluluktan kurtulmak imkanı tanınmamıştır. Ancak bu demek değildir ki, örneğin illiyet bağının koptuğu hallerde de sertifika sağ­

layıcı sorumludur. Tabiidir ki, normal olarak akdi sorumluluğun şartlannın gerçekleşmediği hallerde, sorumluluk da doğmaz.

Elektronik imza sahibi, kanunda “elektronik imza oluşturmak amacıyla bir imza oluşturma aracını kullanın gerçek kişidir” şeklinde tanımlanmıştır (m.3, c.) İmza sahibi mutlaka bir gerçek kişi olmalıdır22. İnternet ortamında güvenli bir biçimde (izin verilen) hukuki işlemleri yapmak isteyen gerçek kişilerin, kendilerine bu imkanı sağlayacak yetkili bir elektronik imza serti­

fika sağlayıcısı ile bir sözleşme akdetmesi gerekmektedir. Bu sözleşme uya­

rınca sertifika hizmet sağlayıcısının asli edim yükümlülüğü, kullanıcıya, biri

20 Alman hukukunda da sertifika hizmet sağlayıcılarının sorumluluğunun özel kurallarla düzenlenmesine gerekçe olarak, önceki düzenlemenin sertifikaya güvenen üçüncü kişile­

rin haklarım yeterince korumadığı İfade edilmiştir. Dolayısıyla yapılan yeni düzenlemede üçüncü kişilere karşı sorumluluk özel olarak düzenlenmiş, koruma boşluğu giderilmeye çalışılmıştır. Geniş bilgi için bkz., Thomale, MMR 2004, 81 vd. Sorumluluğun genel hü­

kümlerle değil de özel olarak düzenlenmesinin gerekliliği konusunda bkz., Leİer, B., Haftung der Zertifızierungsstellen nach dem SigG- Betrachtung der geltenden und Überlegungen zur zukünftigen Rechtslage, MMR 2000, 17.

21 Alman hukukunda da akdi sorumluluk esasları geçerlıdir, bkz., Thomale, MMR 2004, 82 vd..

22 Bununla birlikte Avusturya E-lmza Yasasında sertifika hizmet sağlayıcıları da imza sahibi olarak sayılmıştır. Bu zorunluluk, sertifika hizmet sağlayıcılarının hizmet sırasında sertifika kullanmak ve kullanıcılara sundukları sertifikalan kendi imza oluşturma verileri ile imzalamak zorunda olmalandır (II. Bilişim Şurası Hukuk Raporu, s. 159). Halbuki Yönerge’de gerçek kişilerle tüzel kişilerin, hatta tüzel kişiliği bulunmayan grupların dahi elektronik imzaya sahip olabilecekleri öngörülmüştür. Bkz., Heusch, 45 vd..

gizli diğeri açık olmak üzere bir çift anahtar (şifre) tahsis etmek ve bunun yönetimi, gizliliğini sağlama, kamuya açık şifreyi kamuya duyuracak rehberi hazırlamaktır. Bunun karşılığında sertifika sahibi, ücret ödemek yükümlülü­

ğü altındadır.

Öncelikle belirtmek gerekir ki, elektronik imza kanunu taraflar arasında­

ki ilişkinin hukuki niteliğine dair kesin bir belirleme yapmamıştır. Taraflar irade özgürlüğü çerçevesinde kanuni sınırlamalara riayet etmek suretiyle aralarındaki ilişkiyi serbestçe düzenleyebilirler. Bununla birlikte bu sözleş­

menin hukuki niteliğini belirlerken göze batan ilk husus, bu ilişkinin sürekli bir borç ilişkisi niteliği arz ettiğidir. Sertifikanın tanzim edilmesiyle ilişki sona ermemektedir. Gerektiğinde sertifikada değişiklikler yapmak şeklinde veya kamuoyuna duyurulan şifrelerle ilgili içerik hizmetleri sunmak şeklinde ilişki devam etmektedir. Doktrinde bu sözleşmenin hukuki niteliği konusun­

da çeşitli görüşler ileri sürülmüştür. Bu görüşleri eser sözleşmesi görüşü, eser teslimi sözleşmesi görüşü, hizmet sözleşmesi görüşü, karma sözleşme görüşü ve kendine özgü sözleşme görüşü şeklinde gruplandırmak mümkün­

dür.

Bu sözleşmenin satım ve benzerleri olamayacağı, zira sözleşmenin kuru­

luşu esnasında hali hazırda bir satım konusunun, yani şifre ve katılımcı serti­

fikasının bulunmadığı, sertifikanın başvuruyu müteakiben hazırlandığı ifade edilmektedir23.

Bir diğer düşünce tarzı, sözleşmenin eser veya eser teslimi olabileceği yolundadır. Eser sözleşmesi ve eser teslimi sözleşmesi arasında temel farklı­

lık, müteahhidin imal edeceği eserin malzemesini de kendisinin sağlaması noktasındadır. Eser teslimi sözleşmesi Almanya’da 2002 yılında yürürlüğe

Nitelikli Elektronik Sertifika... 26 7

23 Baum, M., Elektromsche Signaturen- Risiken und deren Versicherbarkeit in Deutschland nach Umsetzung der Richtlinie des europaeischen parlaments und des rates über gemeinsame rahmenbedingungen ftlr eİektronische Signaturen, Milnster 2001, s. 107.

Rossnagel, duruma göre satım sözleşmesine ilişkin hükümlerin de uygulama alanı bula­

bileceğini belirtmektedir, MMR 2003,169. Eser sözleşmesi ile satım sözleşmesi arasında ayrım konusunda İsviçre Federal Mahkemesi’nin 22 Ocak 2003 tarih ve 4C.301/2002 sayılı kararına bu noktada temas etmekte yarar görülmüştür. Bu kararda saf satım söz­

leşmesi ile eser sözleşmesi arasındaki aynmda önemli bir Ölçüt, İmal yükümlülüğünün bulunmasıdır. Gelecekte malik olacağı bir şeyi şimdiden satmak satım sözleşmesine, ge­

lecekte bir şeyi imal edip, İmal edilen bu şeyi devretmek eser sözleşmesine vücut verir.

Şayet alıcı, imal sürecine her hangi bir biçimde müdahale edemiyorsa ve o şey münhası­

ran kendisi için imal edilmiyorsa, bu takdirde de sözleşme satım niteliğinde görülmekte­

dir.

268 M. Fadıl YILDIRIM AÜEHFD, C. VIII, 5. 3-4(2004)

giren Borçlar Hukuku Reformu Yasası ile ayrı bir sözleşme olarak anılmak­

tan çıkarılıp, satım hukuku içerisinde değerlendirilmiştir (§ 651 aBGB)24.

Türk-îsviçre hukukunda da ise eser teslimi sözleşmeleri ismi altında bir sözleşme tipi düzenlenmemiş olmakla birlikte malzemenin müteahhit tara­

fından sağlandığı hallerde, sağlanan malzemenin orta kalitede olmasından müteahhidi satıcı gibi sorumlu tutan BK. m. 357/1 hükmü, eser teslimi söz­

leşmelerinin dogmatik temeli olarak görülmektedir25. Buna göre, sertifika, imali üstlenilen bir eserdir ve böyle bir sözleşme vekalet sözleşmesinden belirli bir iş sonucunun (=arbeitserfolg) üstlenilmesi sebebiyle ayrılmaktadır.

Acaba gerçekten sertifika sağlayıcısının üstlendiği yükümlülük bir iş sonucu mudur, dolayısıyla sorumluluğu sonuç sorumluluğu mu olacaktır, yoksa belirli bir amaca uygun faaliyet mi borçlanılmaktadır?

Sertifika tanzimi ve bu sertifikanın akreditasyonu26 bir faaliyet olarak değerlendirildiğinde sözleşmeye vekalet hükümleri, bir iş sonucu olarak kabul edildiğinde ise eser sözleşmesine ilişkin hükümler uygulama alanı bulur. Doktrinde bir görüş Yönerge’de ve buna dayalı olarak alman e-imza yasasında sertifikanın akreditasyonuna göre sözleşmenin hukuki nitelikleri­

nin değişebileceğine ilişkin bir emare bulunmadığından hareketle her iki durumda da, eser sözleşmesine dair hükümlerin uygulanmasını gerektirebi­

24 § 651 aBGB’in yeri değişmemiş ancak başlığı “Satım hukukunun uygulanması (=Anwendung des Kaufrechts)’’ şeklinde değiştirilmiş ve eser teslimi sözleşmeleri ayrı bir sözleşme olarak anılmaktan kurtarılmıştır. Madde içeriğinde de başlığa uygun olarak değişiklik yapılmış eser teslimi sözleşmesinin tanımı çıkarılmıştır

25 Gaııch’a göre eser teslimi sözleşmesi esas itibariyle bir ‘ eser sözleşmesizdir ve eser sözleşmesine İlişkin hükümlere tabidir. Yasadaki ifadenin yanlış anlamalara sebebiyet ve­

recek tarzda kaleme alındığından yakınmakta ve sadece zapta karşı tekeffül halinde satım hukukunun uygulama alanı bulacağını, bunun dışındaki hallerde satıma ilişkin hükümle­

rin dışlandığım ve dolayısıyla eser sözleşmesine ilişkin hükümlerin uygulanması gerekti­

ğini savunmaktadır, Gauch, P., Werkvertrag, 4. Aufl., Zürich 1996, N, 123. Eser sözleş­

mesinin eser teslimi sözleşmesinden ayırt edilmesi hakkında geniş bilgi için bkz., Gauch, N. 121 vd..

26 (İsteğe bağlı) Akreditasyon, sertifika hizmeti sunulmasıyla ilgili tüm hak ve yükümlülük­

leri belirleyen, ilgili sertifika hizmeti sunucusunun isteği üzerine bu hak ve yükümlükle­

rin geliştirilmesi ve denetimi ile ilgili kamu ya da özel nitelikli kurum tarafından verilen ve sertifika hizmeti sunucusunun bu İzinden kaynaklanan hakların] kullanmasıyla ilgili her türlü izindir. Sertifikanın akreditasyonu ile İlgili bir hükme Elektronik İmza Kanu­

nunda rastlanmamaktadır. Oysa bu kurumlann sundukları hizmetin güvenilirliği bakı­

mından akreditasyon çok büyük önem taşımaktadır. Zira, elektronik imza için kullanılan şifreleme programlan teknolojinin gelişmesine paralel olarak her geçen gelişmektedir.

Alman Digital İmza Kanunu’nda bu yönde hükümler bulunması sebebiyle böyle bir yü­

kümlülük, sözleşmenin hukuki niteliğini tespitte, doktrin tarafından değerlendirmeye alınmaktadır.

Nitelikli Elektronik Sertifika... 269

lecek bir iş sonucunun üstlenildiği ileri sürmektedir27. Diğer yandan bu söz­

leşme ile sertifika sağlayıcı, eseri imal edeceği malzemeyi bizzat temin et­

mektedir. Bu malzemeler, özellikle imza imal verileri ile chip kartı gibi onu taşıyacak materyaldir. Bu veri taşıyıcısının eklenti niteliğinde olduğu, söz­

leşme ile yüklenilen iş sonucunun elektronik veri niteliğindeki şifreler oldu­

ğu dikkate alındığında gayri maddi olmakla birlikte maddi bir varlık üzerin­

de yer alan bir iş sonucu olarak kabul edilebilir.

Bu görüşe karşı çıkan bir başka görüş ise, şifrelerin ve dolayısıyla şifreyi taşıyıcı araçların kullanıcıya devri gerçekleştirilmeden elektronik imzadan,/

yararlanmanın imkansız olduğundan hareketle, ilişkide eser teslimi sözleş­

mesi niteliği görmekte ve dolayısıyla satım sözleşmesine ilişkin hükümlerin kıyasen uygulama alanı bulması gerektiğini ileri sürmektedir28.

Kanaatimizce nitelikli elektronik imza sertifika sağlama sözleşmesi29 bünyesinde çeşitli sözleşmelere ait unsurlar bulunmakla birlikte, kanunda düzenlenmeyen sözleşmelere ait unsurları da (şifreleme yönteminin bilgisa­

yar programı şeklinde imza sahibinin kullanımına sunulduğu ihtimallerde, bilgisayar program devir sözleşmesini de içermesi ve taraflar arasında sürek­

li bir borç ilişkisi yaratması sebebiyle) barındırması sebebiyle kendine özgü bir sözleşme (=sui generis) olarak değerlendirilmelidir. Zira sertifika sağla­

yıcısının yükümlülüğü imzayı imal etme ve bunu içeren veri taşıyıcısını iş sahibine devretmekle sona ermemekte, örneğin sertifika içerik hizmetleri sertifikanın geçerliliği süresince veya geri alınıncaya kadar devam etmekte­

dir30.

27 Baum, 107.

28 Baum, 108, dipn. 432’de anılan yazarlar.

29 Alelade elektronik imza sağlamaya yönelik sözleşme çoğu kez vekalet olarak karşımıza çıkar. Böyle bir sözleşme ile taraflardan biri diğer tarafa karşı kesinkes bir sonuç üstlen- mezken, diğer taraf da bunun bilincindedir. Hatta bazı internet siteleri isteyen kişileri elektronik imza hizmeti sunmaktadırlar, örneğin www.gnupp.de adresinden Federal Al­

manya Ekonomi Bakanlığı İle böyle bir hizmeti sunmaktadır,

30 Baum, sözleşmenin kanunen düzenlenmiş (tipik) sözleşmelere ait unsurların kanunun öngörmediği bir biçimde bir araya getirildiği kombine sözleşme olarak görmektedir. Bu sözleşmenin unsurları bir yandan iş görme edimleri, bir yandan satım sözleşmesine dair hükümlerin kıyasen uygulanması gereken, eser teslimi sözleşmelerinden gelmektedir (s.

109-110), Teknolojik gelişmelere uygun olarak daha güvenli şifreleme yöntemlerinin ya­

ratılması ve dolayısıyla digital imzanın yenilenmesi, değiştirilmesi ve bu değişikliğin ya­

ratacağı yeni yükümlülükler gündeme gelebilir. Böyle bir durum da taraflar arasındaki ilişkinin anlık değil, uzun süreli bir ilişki olduğunu ortaya koymaktadır. Elektronik imza­

nın yenilenmesi ve yarattığı sorunlarla ilgili olarak bkz., Rossnagel, A./Fischer-Dieskau, S./Pordesh, U./Brandner, R., Emeuerung elektronischer Signaturen, CR 2003, 301 vd..

270 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

Taraflar arasındaki hukuki ilişkinin akdi niteliği, sözleşmelere ait diğer hüküm ve kuramların da uygulama alanı bulmasına imkan vermektedir.

Özellikle ayıba karşı tekeffülden sorumluluk, temerrüt, kötü ifaya ilişkin hükümler olayda uygulanabilecektir. Sözleşmenin tüketici sözleşmesi sayıl­

dığı hallerde Tüketicinin Korunması Hakkındaki Kanun Hükümleri de Borç­

lar Kanunu’na nazaran özel nitelikli olmaları sebebiyle öncelikle uygulanır.

Sağlanan hizmetin ayıplı olması halinde Tüketicinin korunması hakkındaki kanun hükümlere göre her hangi bir sınırlamaya tabi olmaksızın tüm zararla­

rın bu arada ayıbı takip eden zararların da tazmin ettirilmesi imkanı bulun­

maktadır. Zira genel işlem şartlarında genel olarak, ayıbı takip eden zararlar­

dan örneğin, yoksun kalman kar ve veri kayıplarından sorumlu olmamaya yönelik hükümlere rastlanılmaktadır. Hukukumuza göre böyle bir hüküm, tüketici sözleşmeleri bakımından geçersiz sayılmalıdır. Zira bu kanunda yer alan hükümler genellikle nisbi emredici niteliktedir.

Burada temas edilmesinde yarar görülen bir husus, Türk kanun koyucu­

sunun sertifika hizmet sağlayıcı ile müşteri arasındaki sözleşme ihlali halle­

rini, Alman ve Avusturya kanun koyucularının aksine nitelikli hale getirme­

mesi, bir diğer ifade ile, sözleşmenin ihlalinin kanunda yer alan yükümlülük­

lere aykırı olarak gerçekleşmesi şartına yer vermemesidir. Zira söz konusu iki ülkenin düzenlemelerine bakıldığında, sertifika hizmet sağlayıcısının kanunda belirtilen yükümlülüklere aykırı davranmak suretiyle zarar verdiği

“herkese”; yani hem akdi hem de akdin dışındaki kişilere karşı sorumlu ola­

cağı belirtilmiştir; üçüncü kişilerle sözleşme ilişkisi bulunan kişiler arasında herhangi bir ayrım yapılmamıştır31.

V. SERTİFİKA HİZMET SAĞLAYICININ ÜÇÜNCÜ KİŞİLERE KARŞI SORUMLULUĞU

Öncelikle bu kanuna göre sertifika hizmet sağlayıcının sorumlu tutuldu­

ğu üçüncü kişi kavramının açıklığa kavuşturulması gerekir. Kanımızca, serti­

fika sahibi olarak sertifika kuruluşu ile akdi ilişkisi bulunmayan herkes bu kanun anlamında üçüncü kişidir. Kanun koyucu bu kişilere karşı sertifika kuruluşunun sorumluluğunu esas itibariyle BK. m. 41 vd. maddelerinde dü­

zenlenen haksız fiil esaslarına göre düzenlemiştir. Bu sorumluluktan ayrıldı­

ğı yönler de yine açıkça bu kanunda düzenlenmiştir. Bir diğer ifade ile, ka-

Süreklİ borç ilişkisi özelliği gösteren eser sözleşmesinin isimsiz sözleşmeler grubuna gir­

diği hususunda aynca bkz., Gauch, N. 323 vd..

Thomale, MMR 2004, 81.

31

Nitelikli Elektronik Sertifika... 271

nunun açıkça aksini bir düzenleme öngörmediği hallerde haksız fiile dair hükümler uygulama alanı bulacaktır.

Peki nedir kanun koyucunun haksız fiil esaslarından ayrıldığı noktalar?

Öncelikle, zarar verenin kusurunun ispatı zarar gören tarafça yapılmayacak­

tır. Zarar veren, söz konusu zararlı sonuç sebebiyle kendisine hiçbir kusurun yüklenemeyeceğini ispat etmek durumundadır. Bu durum hukukta “prima face” isnat prensibi olarak anılmaktadır ve akdi sorumluluk ile haksız fiil sorumluluğunun ayrıldığı temel noktalardan birini oluşturmaktadır. Yöner­

ge'ye uygun olarak kanun koyucunun bu tercihi isabetli olmuştur. İşin teknik boyutu uzman olmayı gerektirdiğinden ve sertifika hizmet sağlayıcıları olaya daha yakın olduklarından oluşan zararda kendilerinin kusursuz olduklarının ispatının onlara yüklenmesi yerindedir.

Hukuka aykırılık yönünden de kanun koyucu genel haksız fiil sorumlu­

luğundan ayrılmıştır. Hukuka aykırılık unsuru, kişilerin şahıs ve malvarlığı değerlerini korumaya yönelmiş normların ihlali halinde söz konusu olur ve ayrıca fiili hukuka uygun hale getiren sebeplerin bulunmaması da gereklidir.

Kanun koyucu bu kanunda, sertifika hizmet sağlayıcılarının üçüncü kişilere karşı sorumlu tutulabilmesini ancak ve ancak “bu kanun veya bu kanuna dayalı olarak çıkarılan yönetmelik hükümlerine aykırı” davranmak suretiyle zarar verilmesine bağlı tutmuştur. Kanun koyucumuz Avusturya kanun ko­

yucusunun aksine burada tek tek hangi yükümlülüklere aykırı olarak zarar verilmesi gerektiğini saymamış (Öst.SigG, § 23), genel bir yollama yapmak­

la yetinmiştir. Genel koruma ve davranış normlarına aykırı davranışlarla verilen zararlardan sorumluluk ise, bu durumda BK. m. 41 vd. hükümlerine göre değerlendirilecek, elektronik imza kanununun getirdiği daha elverişli konumdan zarar gören yararlanamayacaktır. Yoksa, kanun koyucunun bu tür zararların tazmin edilmesini engelleme şeklinde bir tutumu söz konusu de­

ğildir. Sözleşme ilişkisi içerisinde bulunulan tarafa karşı sorumlulukta ise böyle bir sınırlama yoktur. Sertifika sağlayıcının, sertifika sahibine karşı sorumlu olacağı zarar, ister, bu kanun veya bu kanuna uygun olarak çıkarıla­

cak yönetmelik hükümlerine aykırı davranışlardan kaynaklansın ister başka­

ca yükümlülüklerden, sertifika sağlayıcı sorumlu tutulmuştur.

Yasanın bu düzenlemesinin eksik olduğunu söylemek mümkündür. Zira aynı durumda sorumluluğu düzenleyen alman yasasına bakıldığında, yalnız­

ca kanun veya yönetmelik hükümlerine aykırı davranarak zarara sebebiyet verme değir2, teknik gelişmelere uymamak suretiyle zarar vermek de

5070 sayılı Kanunda sertifika hizmet sağlayıcısının yükümlülükleri 10 ncu maddede düzenlenmiştir. Bunlardan bir kaçını belirtmek gerekirse; (a) hizmetin gerektirdiği nite­

likte personel istihdam etmek, (b) nitelikli sertifika verilen kişilerin kimliğini resmi bel- 32

272 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

(=sonstıge technische Sicherungseinrichtungen) sertifika hizmet sağlayıcıla­

rının üçüncü kişilere karşı sorumluluğunu gerektirmektedir (SigG § 11 Abs.l).

Haksız fiil esaslarından kanun koyucunun ayrıldığı dolayısıyla sözleşme hukuku ile benzer kıldığı bir diğer nokta da, istihdam eden kişilerin, yanında çalıştırdıktan kişilerin kendilerine verilen görevleri ifa ederken üçüncü kişi­

lere verdikleri zararlar sebebiyle sorumluluktan kurtulmalanna yarayan kur­

tuluş kanıtı getirme imkanının tanınmamış olmasıdır. Bilindiği üzere kurtu­

luş kanıtı, istihdam edenin, zarann meydana gelmemesi için her türlü özeni gösterdiğini ispat ederek veya her türlü özeni gösterseydi dahi zararlı sonu­

cun meydana geleceğini İspat ederek sorumluluktan kurtulması imkanıdır ve BK. m. 55’te düzenlenmiştir. Doktrinde, zarann meydana gelmemesi için gösterilmesi gereken her türlü özen ifadesi, yardımcı kişinin seçiminde, ona talimat vermede ve onu denetlemede her türlü özenin gösterilmesi şeklinde yorumlanmaktadır. İş sahibinin ortaya çıkan zarardan sorumlu tutulması için, yardımcı kişinin kusuruna gerek yoktur. Bu haliyle sertifika sağlayıcılannın sorumluluğunu, ağırlaştırılmış sebep sorumluluğu olarak değerlendirebiliriz.

Bu noktada doktrinde tartışılan bir husus, kanun anlamında üçüncü kişi sayılan ve haksız fiil esaslarına göre uğradığı zararları tazmin ettirebilme imkanına sahip olan kişinin sertifika sahibi ile sertifika hizmet sağlayıcı arasındaki akdi ilişkiden yararlanıp yararlanamayacağı, bir diğer ifade ile uğradığı zararları akdi sorumluluk esaslarına göre tazmin ettirip ettiremeye­

ceğidir.

Türk ve Alman hukuklarında böyle bir imkan ancak şu iki hukuki araç çerçevesinde dile getirilmektedir: Üçüncü kişi lehine sözleşme kurumu ve üçüncü kişiyi koruyucu etkili sözleşme kuramı33. Sertifika sahibi ile sertifika kuruluşu aralarında yaptıkları sözleşmede, üçüncü kişilerin istedikleri tak­

dirde sertifika içeriğine ilişkin bilgi alabilmelerine imkan tanımaları ve böyle bir bilgi istenmesi üzerine verilen bilginin yanlış olması sebebiyle bir zarara uğranılmış ise burada üçüncü şahıs lehine sözleşmenin varlığı kabul edile­

rek, bu zararların sözleşme hukukuna göre tazmini mümkün müdür?

Gerçek üçüncü kişi lehine sözleşme bilindiği üzere BK. m. l ll/I I ve IlI’de düzenlenmiş ve tarafların yaptıkları bir sözleşme ile üçüncü bir kişinin bu sözleşmeden doğan alacak hakkının ifasını isteyebilmesine imkan veril-

gelere dayalı olarak güvenli bir biçimde tespit etmek, (0 sertifikada bulunan İmza doğru­

lama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konu­

sunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmek vs..

Geis, I„ Rechtsaspekte elektronischer Geschaeftsbeziehungen, www.ivogeis.de/veroef- fentlichuneen Referat.pdf.. s. 8.

33

Nitelikli Elektronik Sertifika... 273

miştir. Üçüncü kişi sözleşmeye taraf olarak katılmamakla birlikte sözleşme­

nin kurulmasıyla alacak hakkını (=Forderungsrecht) doğrudan doğruya ve aslen kazanmaktadır. Ancak kanaatimizce sertifika hizmet sağlama sözleş­

mesinde de üçüncü bir kişinin istemesi halinde sağlayıcının, sertifika içeriği­

ni bildirmesi yükümlülüğü tam üçüncü kişi lehine sözleşme ilişkisinin kabu­

lünü gerektirecek bir husus değildir34. Zira, üçüncü kişilere karşı üstlenilen edim, sözleşmeden kaynaklanan asli edim yükümlülüğü ve bir alacak hakkı olmayıp, yan edim yükümlülüğü niteliğindeki bir talep hakkıdır35. Sözleş­

meden doğan asli edim yükümlülüğü imza verisinin imali ve sertifikanın tanzimidir ve bu edimler sözleşmenin karşı tarafına karşı yerine getirilmek­

tedir.

Bu noktada tarşılaşılması gereken bir sorun da, tam üçüncü kişi lehine sözleşmede, lehdann sözleşmenin kuruluşu esnasında belirli olmasına gerek olup olmadığıdır. Zira, sertifika içeriği ile ilgili bilgiyi, kural olarak, sertifika sahibinin zaman içerisinde yapacağı sözleşmelerin karşı tarafı isteyecektir.

Doktrinde genellikle kabul edildiğine göre, üçüncü kişi, sözleşmenin tarafı olmadığına göre bu kişinin doğmuş olmasına veya belirli bir kişi lehine ol­

masına gerek yoktur36. Üçüncü kişi ileride doğacak gerçek bir kişi veya kurulacak bir tüzel kişi ya da bir kişi topluluğu olabilir. Üçüncü kişinin bir başka kişi tarafından belirlenmesi de mümkündür. Burada aranan tek şart, üçüncü kişinin kendisine taahhüt edilen edimin ifa edileceği sırada objektif olarak belirlenebilir olmasıdır37. Burada da belirli bir olayın gerçekleşmesi ile sertifika sağlayıcısının bu kişiye sertifika içeriği ile ilgili olarak bilgi verme yükümlülüğü doğmaktadır. Her ne kadar bu noktada üçüncü kişi lehi­

ne sözleşmenin kabulü için bir sorun gözükmese de kanaatimizce, üçüncü

34 Baum, 95. Alman hukukunda üçüncü kişi lehine sözleşme görüşünün doktrinde hakim görüş olmaması, mahkemelerce benzer konularda farklı kararlar verilebilmesi ihtimali, ortaya çıkan koruma boşluğunun özel düzenlemelerle giderilmesi gerektiği düşüncesine sevketmektedir. Bkz., Leier, MMR 2000, 15 vd.. Üçüncü kişi lehine tam (gerçek) söz­

leşme ile üçüncü kişi lehine eksik (gerçek olmayan) sözleşme arasındaki ayrımında temel ölçüt, lehdann veya onun haleflerinin, iki tarafın iradesine, kanuna ya da örf ve adete uy­

gun düştüğü takdirde borcun ifasını şahsen, yani vaat ettirenden bağımsız olarak talep edebilmesidir (Eren, F., Borçlar Hukuku Genel Hükümler, C.II, 5. Bası, İstanbul 1999, s.

1134).

OC Talep hakkı ve alacak hakkı kavramları arasındaki İlişki ve farklılıklar konusunda bkz.,

Eren, 1,46 vd..

36 Eren, II, 1130.

37 Akyol, Ş., Tam Üçüncü Şahıs Yaranna Sözleşme, İstanbul 1976, s. 100 vd.; Eren, II, 1131.

274 M. Fadıl YILDIRIM AÜEHFD, C. VIII, S. 3-4(2004)

kişilere karşı üstlenilen edimin asli edim yükümü ve alacak hakkı niteliğinde olmaması, ilişkiyi, üçüncü kişi lehine olmaktan çıkarmaktadır.

Sertifika hizmet sağlayıcısının üçüncü kişilere karşı sorumluluğu ile ilgi- li olarak temas edilmesi gereken bir husus, üçüncü kişinin korunmaya layık bir güveninin bulunmadığı durumlarda, yani imzanın muhatabının durumu biliyor veya durumun gereği olarak bilmesi gereken durumlarda ve sertifika hizmet sağlayıcısının kusursuzluğunu ispat ettiği hallerde, sertifika hizmet sağlayıcısının sorumlu tutulmayacağıdır. İmza muhatabının durumu bildiği veya bilmesi gerektiği hususlar kanunumuzda açıkça ifade edilmemiş olmak­

la birlikte, MK. m. 2’de öngörülen dürüstlük kuralından hareketle aynı sonu­

ca varmak gerekir. Bununla birlikte bu hususun Alman Elektronik İmza Ka- nunu’nda açıkça düzenlendiği görülmektedir38.

Alman hukukunda sertifika hizmet sağlayıcısının üçüncü kişilere karşı sorumluluğunda tartışılan bir konu, İmalatçının Sorumluluğu Yasası (=Produkthaftungsgesetz) kapsamında bir sorumluluğun doğup doğmayaca­

ğıdır. Zira bu yasa, kusursuz bir sorumluluğu öngörmekte, üçüncü kişilere daha geniş bir koruma sağlamaktadır. Ancak söz konusu yasanın ancak menkul mallar ve elektrikten kaynaklanan zararlar için uygulama alanı bul­

duğu ve saf mal malvarlığı zararlarının tazminine imkan tanımadığı ifade edilmektedir39.

Nitelikli elektronik sertifikaya haklı olarak güvenip bir hukuki ilişkiye giren taraf, bundan bir zarar gördüğünde, sertifika sahibi ile sertifika sağla­

yıcı arasındaki sözleşmenin üçüncü kişiyi ve bu arada kendisini koruyucu etkili olduğundan bahisle, uğradığı zararları sözleşme temeline dayalı olarak tazmin ettirme imkanına sahip midir?

Bu konuda özellikle alman doktrininde fikir birliği bulunmamaktadır. Bir görüş40, üçüncü kişilerin de sertifika sahibi ile sertifika hizmet sağlayıcı arasındaki sözleşme ilişkisine dayanabileceğini, zira, edime yakınlık ve üçüncü kişinin korunmasında menfaat ölçütlerine göre bu kişilerin sözleş­

menin koruma çevresine dahil olduklarını belirtirken, bir başka görüş41 bu görüşü reddetmekte ve görüşüne gerekçe olarak sözleşmenin yapıldığı esna­

38 Kanunda ifade edilen “bilmek zorunda olmak (=kennen müssen)”, somut olayda imza muhatabının hafif İhmalini de kapsamaktadır. Bir diğer ifade İle bu kişi somut olayda du­

rumun gereği olarak bilme yükümlülüğünü hafif kusurlu olarak ihlal etmiş ise, sertifika hizmet sağlayıcı sorumlu tutulmamaktadır. Bkz., Thomale, MMR 2004, 82.

39 Leier, MMR 2000, 16-17.

40 Leier, MMR 2000,15.

41 Rossnagel, MMR 2003,169.

Nitelikli Elektronik Sertifika ... 275

da bu sözleşmenin kapsamına girecek kişilerin belirsizliğini ve sorumluluğa yol açabilecek olası rizikoların öngörülememesini göstermektedir. Doktrin­

deki fikir ayrılıkları ve uygulamada benzer konularda farklı farklı kararlar verilebilme olasılığı üçüncü kişiler bakımından bir koruma boşluğu yarattı­

ğından, konunun Özel olarak düzenlenmesi gereğine işaret edilmekte ve söz konusu koruma boşluğunun duldurulması istenmekte idi. Bu istekler olumlu yankı bulmuş ve alman kanun koyucusu konuyu özel olarak düzenlemiştir.

Bizde de benzer bir uygulamaya gidildiği gözlenmektedir.

VI. ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICISININ İS­

TİHDAM ETTİĞİ KİŞİLER SEBEBİYLE SORUMLULUĞU Sertifika hizmet sağlayıcıları yalnızca kendi fiillerinden değil, aynı za­

manda yardımcı kişilerin fiillerinden de sorumludur. Yardımcı kişiler, ifaya yardımcı kişilerle diğer yardımcı kişiler olmak üzere ikiye ayrılmaktadır.

Elektronik imza kanununda sertifika hizmet sağlayıcılarının bu kişilerin fiillerinden sorumluluğuna örtülü bir biçimde temas edilmiştir. Kanun yal­

nızca bu kişilerin fiillerinden dolayı sorumsuzluk imkanım daraltan bir hü­

küm öngörmüştür. Bunun dışında yardımcı kişilerin sorumluluğu ile ilgili esaslar aynen uygulama alanı bulur42.

42 Alman Elektronik imza Yasası’nın § 11/1V hükmü, sertifika hizmet sağlayıcısının yetki­i . . lendirdiği üçüncü kişiler ve yabancı ülke sertifikalarından dolayı sorumluluk üstlenmele­

ri sebebiyle tıpkı kendi fiillerinden sorumluluğu gibi sorumlu tutulmalarını öngöürmüştür. §4/V’de açıkça sertifika hizmet sağlayıcının kanunda öngörülen yükümlü­

lükleri üçüncü bir kişiye devredebilme imkanı açıkça öngörüldüğü için, yasa koyucunun müştereken sorumlu tutulması gerekli ve yararlı olmuştur. Yine sertifika hizmet sağlayı­

cısı, yabancı bir ülkede verilen sertifikalarla ilgili olarak sorumluluk üstlenmiş İse so­

rumluluktan kurtulmak için kurtuluş beyyinesi getirme imkanı tanınmamıştır, (Thomale, MMR 2004, 85). Yardımcı kişilerin fiillerinden sorumluluk konusunda geniş bilgi için bkz., Eren, I, (Borçlar Hukuku, Genel Hükümler, C.l, 6. Bası, İstanbul 1998), 596 vd..

Deutscher Sparkasse’nin bir kuruluşu olan ve Alman hukukuna göre elektronik İmza imali ile sertifika sağlayan ve “s-Trust”ın müşterileri ile yaptığı bir sözleşmeden sorum­

lulukla ilgili düzenlemelerine yer vermekte yarar görülmüştür; “Sertifika kuruluş faali­

yetleri sebebiyle belirli bir iş sonucunu üstlenmez. Daha önce belirtilen hükümlerde açıkça istisna kılınanlardan başka, kuruluş özellikle garanti, nitelik, ve belirli bir amaca yönelik devir, bir malın niteliği, türü bakımından hiçbir yükümlülük altına girmez.

Bu sözleşmeye satım hukukuna ilişkin hükümler uygulandığı takdirde, yasada öngörülen hükümler geçerli olacaktır. Ayıplar sebebiyle müşterinin sözleşmeye uygun gecikmiş ifa­

ya (=Nacherfüllung) ilişkin talep hakkı doğduğunda, kuruluş, ayıbı giderme veya ayıplı mal yerine ayıpsızını verme hakkım saklı tutar.

Sertifika kuruluşu yasal hükümlere binaen aşağıdaki şekilde sorumludur; Hafif ihmalden sorumluluk, yalnızca temerrüt, imkansızlık ve sözleşmeden doğan asli yükümlülüklerin ihlali hallerinde söz konusudur. Bu hallerde sorumluluk ayrıca, sözleşme tipine uygun